file di swap si riempie
marco ghidinelli
marcogh a linux.it
Mer 25 Ott 2006 13:41:34 UTC
On Wed, Oct 25, 2006 at 03:34:14PM +0200, Enrico Colombini wrote:
> Marco Manenti wrote:
> > in pratica ha un database interno con gli hash MD5 dei files di sistema,
> > e ti dice se i programmi sovrascritti dai rootkit sono modificati
>
> Ma se c'e' un rootkit puo' restituirgli il MD5 corretto, nascondendo
> quello modificato, mi pare. O no?
certo.
> I rootkit detector per Windows, se non erro, confrontano la risposta a
> livello logico (API) con informazioni a livello piu' basso, ad esempio
> esaminando il contenuto 'raw' del disco.
un rootkit nel kernel puo' essere decisamente noioso da trovare.
l'unico modo e' cercarlo con il sistema non attivo.
Maggiori informazioni sulla lista
Lug
|